|
|
|
|
|
|
|
|
VACLs ,数据流在硬件降低那么那里是对 路由器的CPU的没有影响亦不交换机。在案件一个服务器在分 布拒绝服务(DDos)攻击涉及作为来源,交换机将降低所有非法数 据流以线速,没有任何影响性能。相似的过滤器在服务器在 哪里连接到的路由器或防火墙可以被应用,但这通常有严重性能指 示。
VACLs 和PVLANs的已知限制
当配置过滤用VACLs时,您在PFC应该小心关于片段处理,根据硬件 的规格,并且那配置被调整。
假使 Catalyst 6500的Supervisor 1的PFC的硬件设计,明确地拒绝icmp 片段最好的。原因是互联网控制信息协议(ICMP)片段和ECHO 回复由硬件认为同样,默认情况下并且硬件被编程明确地允许片段 。如此如果想要从离开服务器终止回应数据包,您必须用线 路deny icmp any any fragment 明确配置 此。配置在本文考 虑到此。
有一个着名的安全限制对 PVLANs,是可能性路由器转发数据流来自的取消相同子网。路由器能发送数据流横跨阻挠目的对于PVLANs的隔离的端口。 此限制归结于事实PVLANs是提供隔离在L2的工具,不在第三 层(L3) 。
有修正到此问题,通过在 主VLAN配置的VACLs达到。案例分析提页码:[1] [2] [3] [4] [5] [6] [7] [8] [9] 第7页、共9页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
